06-石晓宏 Web20时代的网络安全发展趋势

WEB2.0时代的网络安全发展趋势周鸿祎奇虎360董事长2008年11月目录™什么是WEB2.0及其特征™WEB2.0给网络安全带来的影响™以互联网及WEB2.0思路解决网络安全问题™附录1什么是WEB2.0及其特征9用户创造内容：用户不再是单向的信息接受者和阅读者，他们可以上传和控制内容；9用户间交流互动并形成群体智慧：网站只是提供一个平台，以供用户和用户之间（而不是用户和网站之间）实现交流、分享、共建等互动，最终形成群体智慧；9自组织、去中心化和长尾化9Web化应用：大量采用脚本、Flash等技术，每个网页已经成为程序（Application），而不是静态的文字和图片；9以个人为中心：个性化，并且每个人既是信息的接收者，也是信息的生产者和传播者；9信息传播的速度和广度：在Web2.0平台上，信息在用户之间将以前所未有的速度和广度进行传播；9网络游戏的本质也是社区，因而也是Web2.0应用；z互联网进入了以论坛(BBS)、博客(Blog)、社交网络(SNS)、视频分享(VideoShare)、维基百科(Wikipedia)等应用为代表的Web2.0时代。Web2.0的本质是社区，它具有以下特征：2WEB2.0给网络安全带来的影响9他们已经在利用Web2.0来组建自己的社区，并可在这些社区中非常容易地进行交流、分享，从而极大地降低了制作木马、黑客工具的门槛：−讨论、交流木马制作、黑客经验−分享木马和黑客工具代码−木马和黑客技术培训（师傅带徒弟）−提供和出售现成的木马、黑客工具（通常是几十元的极低价格）9依托Web2.0提供的便利，木马、黑客的制作也已形成了“人民战争”，从业人员达数十万；而且他们之间分工协作，形成了技术和经济的产业链；9由于这些Web2.0社区的虚拟性（这些人在现实世界可能互不认识）、自组织和去中心化（分散性），给打击木马、黑客犯罪带来了困难，难以取证，也难以找到木马或黑客程序的源头。Web2.0是一把双刃剑，在极大地丰富了互联网应用的同时，也使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。3z木马、黑客组织已经Web2.0化：WEB2.0给网络安全带来的影响z以木马为例，Web2.0的社区分享极大地促进了木马技术的发展：9木马作者和黑客充分利用了Web2.0的分享和协作机制，发挥群体智慧，使得木马技术日益高级和复杂，其升级和进化的速度远超从前；9通过Web2.0社区的分享交流，制作木马的技术难度和成本急剧降低（几十元钱即可从互联网上买到现成的木马生成及免杀工具），从而为木马数量的爆炸性增长创造了条件；9Web2.0社区的长尾特性，也使得木马的种类（变种）极其繁多，大量的木马是小众化（传播面小）、针对性的木马。这些木马的样本难以被采集，因而传统的杀毒软件难以有效查杀。4WEB2.0给网络安全带来的影响zWeb2.0的流行使木马的传播极为容易，传播方式多样：9Web2.0提供的便利使木马无需像病毒那样感染文件即可大规模传播。而通过网站进行漏洞攻击成为其中最主要的传播方式：−Web2.0使各种应用Web化，通常用户只需使用浏览器访问网站即可使用各种应用；−网页上的恶意脚本利用漏洞攻击（包括操作系统及第三方应用软件的漏洞），即可在浏览者机器中植入木马。和病毒不同，用户无需执行某个程序，只要浏览网页，甚至是看图片和视频，都有可能遭致木马入侵；−网页上的恶意脚本甚至无需植入木马，利用浏览器的跨域攻击漏洞，即可获得用户的账号等隐私信息；−而Web2.0应用允许用户制作、上传网页内容（包括脚本），这就为木马作者和黑客提供了极大的便利，他们无需侵入网站的服务器即可实现网页挂马；9木马还可以通过移动介质（如U盘、数字相机、移动硬盘等）、局域网ARP攻击、软件下载安装、邮件、IM等各种方式传播；9结论：在Web2.0时代，木马简直是无孔不入、防不胜防。用户即使有良好的习惯也无法幸免（即使是浏览论坛帖子，或者是在同一局域网内的机器上什么也不做，都有可能中招）5WEB2.0给网络安全带来的影响zWeb2.0的流行为木马的爆炸性增长创造了客观有利条件，而传统的网络安全技术已经过时，无法有效应对目前的恶意软件和木马威胁：9木马变种太多，大量小众化和针对性木马的样本难以被采集，因此依赖于特征码扫描的传统杀毒软件技术无法有效查杀；9特征码扫描技术属于事后查杀，即使查杀了，但损失可能已经造成；9木马数量的爆炸性增长，使得杀毒软件特征库日益庞大，导致用户电脑速度慢、资源占用大；9基于单机的主动防御技术对用户的打扰太多，目前并不实用；9企业/政府机关以往更注重网络边界安全，但由于企业/政府应用环境日益复杂，对互联网的依赖越来越强，导致有更多的安全威胁是通过终端从内部侵入，而网络边界安全设备无法有效过滤这种内部的安全攻击。6以互联网及WEB2.0思路解决网络安全问题050000100000150000病毒恶意软件及木马程序353081328272007年上半年截获的可疑程序样本比例（数据来源：360安全中心）Web2.0时代恶意软件和木马成为最主要的安全威胁7z随着互联网的普及与Web2.0的流行，恶意软件和木马取代病毒成为最主要的安全威胁。用户在使用任何互联网应用时都可能遭遇到安全威胁，网络安全已成为互联网基础服务需求。29.56%29.59%7.12%33.73%0.00%10.00%20.00%30.00%40.00%1用户丢失QQ号的调查统计（数据来源：奇虎360安全中心）没有丢过丢过（在朋友/同学/同事电脑上登录丢的）丢过（在自己家电脑登录丢的）丢过（在网吧丢的）20.80%14.05%22.97%13.51%34.53%0.00%10.00%20.00%30.00%40.00%1用户丢失网游帐号的调查统计（数据来源：奇虎360安全中心）没有丢过丢过，但我装备不是买的丢过，装备损失价值500元以上丢过，装备损失价值101~500元丢过，装备损失价值1~100元在奇虎360的用户调查中，有2/3的人被盗过QQ号或网游账号以互联网及WEB2.0思路解决网络安全问题我们的思路：用互联网和Web2.0的思路来解决网络安全问题，打一场反木马的人民战争。z提供免费的基础网络安全服务，尽可能降低用户获得网络安全服务的成本，将每一个用户用技术武装起来，才能压缩木马的发展空间；z让用户参与并形成安全社区。两亿用户群一旦形成社区，利用互联网社区的投票机制和用户间的交流互助，方可有效打击几十万木马及黑客从业人员的生存土壤。用户的参与可以帮助我们：9上传和举报恶意软件、木马样本9反馈和评估未知程序的可疑行为9反馈和评估网站安全性8以互联网及WEB2.0思路解决网络安全问题z采用互联网云计算模式：9所谓云计算就是指服务器端的计算；9其本质是将传感器放置在每一个用户的终端，将可疑程序样本及其行为特征采集到服务器端，并在服务器端进行统计和概率分析，进而判定恶意程序及其传播趋势；9利用服务器端云计算还可以监控和发现漏洞信息，并及时指导所有的客户端快速打上相应的补丁以修复漏洞；9云计算需要具备的条件：庞大的客户端覆盖率、海量数据的统计分析和挖掘能力、足够的服务器计算资源；9以互联网及WEB2.0思路解决网络安全问题z进一步，利用互联网搜索引擎技术我们还可以实现：9利用搜索引擎蜘蛛技术，对互联网站（尤其是Web2.0网站）进行抓取，自动分析检测这些网页中的漏洞攻击和挂马行为；9利用搜索引擎技术对互联网上的文件资源进行抓取，自动分析检测是否为病毒木马，以提高用户下载安装软件的安全性；10Clicktoeditcompanyslogan.用户的安全需求已经不仅仅是传统的反病毒，而是扩展到了反恶意软件、反木马、个人隐私信息安全、个人数据安全等泛安全领域：终端安全从反病毒扩展到更多的泛安全领域12附录补充信息13恶意网页移动介质软件下载安装IM消息垃圾邮件局域网ARP攻击…………z互联网普及以及Web2.0应用的流行为木马提供了多样化的传播途径，使之无需像病毒那样依靠感染即可大规模传播：多样化的木马传播途径附录补充信息14z应对Web2.0时代泛滥的木马，首先应立足于防护，即尽可能阻断木马入侵系统的途径：ARP防火墙U盘防火墙软件防火墙IM防火墙邮件防火墙网页防火墙漏洞防火墙拦截木马通过ARP攻击入侵，自动定位攻击源禁用移动介质的自动运行机制、自动查杀U盘木马拦截木马通过软件捆绑和后台下载入侵利用沙箱等虚拟技术，阻止IM消息中的恶意链接和文件利用沙箱等虚拟技术，阻止邮件中的恶意链接和附件拦截恶意网页和恶意脚本，阻止网页挂马自动检测和修复系统漏洞，提升系统免疫力木马防火墙：阻断木马入侵的关键途径